网络空间被动威胁感知技术 王启蒙• 灯塔实验室 关于我们 王启蒙 Kimon 电话：18500851413 邮箱：kimon@plcscan.org 微信：ameng929 目录 基础威胁情报 VS. 高级威胁情报 信息收集方式 VS. 威胁捕获技术 被动威胁感知架构体系 从威胁数据到威胁情报 基础威胁情报 VS. 高级威胁情报 网络空间安全 工控系统安全 传统互联网安全 基础威胁情报 VS. 高级威胁情报 基础威胁情报（数据情报） • • 流量/文件/IP/域名 • Whois/Passive DNS/信誉数据 战术威胁情报（数据关联&分析） • • 机读文件（IoC/TTP） • 情报落地、协作联动 战略威胁情报（价值&决策） • • 可读报告 • 意图分析、感知预测、决策支撑 基础威胁情报 VS. 高级威胁情报 数据情报关联分析中的“陷阱” • • 适用于C&C、垃圾邮件、僵尸网络 • 不适用于针对人工渗透、扫描器 • • VPS跳板、VPN、TOR 利用数据情报进行溯源的案例 基础威胁情报 VS. 高级威胁情报 进一步分析 • • 根据Shodan历史端口数据 2016-4-26 Linux 2016-3-27 Linux 2016-3-3 Windows • 用户注册DNS时间为攻击时间 √ • DNS与Ip地址在攻击行为时间绑定 √ • Host所属人与域名所属人相同 × 情报陷阱！ 基础威胁情报 VS. 高级威胁情报 数据情报 • • 数据情报是威胁情报的基础 • 数据情报需要进一步融合、关联、分析 • 战略情报将关系上层决策，不容有失 基础威胁情报 VS. 高级威胁情报 国外针对网络空间的情报收集计划 • • SHINE计划——Project Shodan Intelligence Extraction • X-Plane、Treasure Map、NCR 基础威胁情报 VS. 高级威胁情报 威胁情报在工控系统安全研究中应用 • • 国家关键基础设施 • 针对能源、关键制造等行业的威胁剧增 • Stuxnet/DUQU/Havex • Black Energy • PLC Blaster 针对工控系统的威胁与日俱增 • • 远程可控制的SCADA、PLC • 遍布互联网的工控资产 • 针对工控专有协议的探测 针对工控资产的威胁行为更值得研究 • • 中美网络空间底线 • 具备上层战略特征 • 针对威胁源头行为及能力的“画像“ https://apt.securelist.com 信息收集方式 VS. 威胁捕获技术 信息情报收集不只是“扫描” • Kill Chain至关重要的第一步 • • 踩点、组装、投送、攻击、植入、控制、收割 由点至面 • • 一个暴漏的工控服务 • 一个正在运转工业生产网络 • 40亿IPv4空间针对工控设备进行定位 • 针对工控网络新型渗透模式 • PLC Blaster Shodan、Censys平台 • • 时间轴设备信息态势 • 直接提供“靶标” 信息收集方式 VS. 威胁捕获技术 • 利用标准且公开的工控协议对工控系统及设备进行识别 信息收集方式 VS. 威胁捕获技术 • 利用私有工控协议对工控系统及设备进行识别 信息收集方式 VS. 威胁捕获技术 • 利用传统服务特征对工控系统及设备进行识别 信息收集方式 VS. 威胁捕获技术 • 工具列举 信息收集方式 VS. 威胁捕获技术 威胁捕获方式 • • 传统安全防御设备 • 针对工控系统的蜜罐 • Digitalbond • 趋势科技 • Conpot 信息收集方式 VS. 威胁捕获技术 工控蜜罐存在的问题 • 易被甄别 • • 针对工控协议的仿真交互低 • 配置繁琐容易留下疏漏 • 缺少针对工控业务的仿真 难管理 • • 蜜罐部署繁琐 • 不具备分布式管理机制 难分析 • • 数据日志机制陈旧 • 数据量增多难以分析 • 不具备结合威胁情报的能力 信息收集方式 VS. 威胁捕获技术 • 主动监测国外蜜罐部署情况 信息收集方式 VS. 威胁捕获技术 • 通过Shodan搜索国外蜜罐案例 Shodan API 信息收集方式 VS. 威胁捕获技术 • 国外工控组合蜜罐案例 组合蜜罐： Conpot工控蜜罐 + Glastopf低交互web蜜罐